# 安装ipset
apt-get -y install ipset

# 防止设置不生效，建议清空下之前的防火墙规则
iptables -P INPUT ACCEPT
iptables -F


# 创建一个名为china的规则
ipset -N china hash:net

# 下载国家IP段，这里以中国为例
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone

# 将IP段添加到china规则中
for i in $(cat /root/cn.zone ); do 
    ipset -A china $i; 
done

# 放行china IP段
iptables -A INPUT -p tcp -m set --match-set china src -j ACCEPT

# 关闭指定端口5060和5080
iptables -A INPUT -p udp --dport 5080 -j DROP
iptables -A INPUT -p udp --dport 5060 -j DROP

# 如果要删除规则，-D即可
# iptables -D INPUT -p udp --dport 5060 -j DROP

# 如果要持久化并在系统启动时加载，需要进行以下安装(iptables-persistent)
apt-get -y install iptables-persistent

# 进行以上安装后即可通过vi/vim/namo编辑器来编辑本地iptables配置文件
# vim /etc/iptables/rules.v4
# vim /etc/iptables/rules.v6

# 注意：
# 1. 添加白名单规则时建议使用 -I，因为上面已经把5060/5080给禁掉了，所以后续白名单规则最好放在drop规则之前
# iptables -I INPUT -s xx.xx.xx.xx/32 -j ACCEPT